av.exe xp antispyware 2010

[oztheboss]

ciao a tutti due giorni fa mi sono trovato sul pc questo programmino che mi si apriva da solo e mi diceva che il pc era infetto...
ho fatto girare avg ma non mi ha rilevato niente...cosi ho spento pensando che ci avrei pensato il giorno successivo...
ieri quando accendo mi trovo la stessa situazione del giorno prima ovvero il programma che continuava ad aprirsi da solo...faccio per aprire firefox per andare a cercare un rimedio ma non mi riconosce il formato .exe...cosi dopo un po' di smanetamenti per cercare di aprirlo spengo e mitrasferisco sul portatile per trovare una soluzione...
ho trovato un sito che dava le seguanti istuzioni:

1. chiudete le finestre aperte dal finto antivirus (dovrebbero essere 2) cliccando sul tasto posto sul limite estremo destro della cornice (il terzo pulsante, quello a X insomma)... non cliccante niente di ciò che compare all'interno delle stesse, nemmeno su ipotetici tasti "esci", "cancella", "disinfetta";
2. lanciate il task manager premendo contemporaneamente CTRL, ALT e CANC e terminate il processo AV.EXE, quindi mantenete aperto il task manager;
3. lanciate l'utility per ricercare file (START -> CERCA -> FILE e CARTELLE), quindi fategli cercare AV.EXE... attendete, perchè nel giro di pochi secondi si dovrebbero riaprire le finestre del finto antivirus;
4. ripetete i punti 1 e 2, quindi velocemente cancellate il file AV.EXE dalla finestra di ricerca (selezionatelo e premete MAIUSCOLO+CANC);

A questo punto il finto antivirus non dovrebbe più "girare", dobbiamo quindi rimediare a ciò che nel frattempo ha fatto al povero PC: ha modificato il registry in maniera da rendere impossibile l'esecuzione di tutti i file .exe.

1. Provate a lanciare il regedit, se non vi riesce lanciate il prompt dei comandi (START -> PROGRAMMI -> ACCESSORI -> PROMPT DEI COMANDI) e digitate "regedit" (senza virgolette)... se invece del prompt vi si apre una finestra che vi chiede con cosa eseguire il prompt... scegliete di farlo col prompt, vale a dire WINDOWS (la directory d'installazione del s.o.) -> SYSTEM32 -> CMD.EXE;
2. fate il backup dei registri tramite FILE -> ESPORTA;
3. ora dovremmo intervenire sulle voci modificate che sono:
* HKEY_CURRENT_USER\Software\Classes\.exe\shell\open \command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
* HKEY_CURRENT_USER\Software\Classes\secfile\shell\o pen\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
* HKEY_CLASSES_ROOT\.exe\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
* HKEY_CLASSES_ROOT\secfile\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “%1″ %*
* HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInter net\FIREFOX.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe”
* HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInter net\FIREFOX.EXE\shell\safemode\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Mozilla Firefox\firefox.exe” -safe-mode
* HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInter net\IEXPLORE.EXE\shell\open\command “(Default)” = “%UserProfile%\Local Settings\Application Data\av.exe” /START “C:\Program Files\Internet Explorer\iexplore.exe”
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “AntiVirusOverride” = “1″
* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center “FirewallOverride” = “1″
4. le ultime due vanno cancellate in toto, mentre per le altre bisogna rimuovere i pezzi di stringa sino a /START compreso;

visto che si era fatto t ardi ho spento...
oggi riaccendo il fisso per cercare di risolvere una volta per tutte la faccenda...
stranamente non il programma non è partito...i file exe non funzionavano ma dopo aver aggiustato la seconda stringa hanno cominciato a funzionare...cosi apro firefox e scarico malwarebytes... lo faccio girare ma non mi rileva niente...

xp antispyware 2010 è come se fosse sparito...è possibile che a distanza di 2 giorni sia sparito???io ho qualche dubbio...cosa posso fare per esserne sicuro???


scusate se sono stato un po' lungo ma ho voluto scrivere tutta la dinamica...
grazie in anticipo...XD

[menatwork]

prova ad eliminare le tracce rimaste con combofix

disattiva il tuo antivirus

scarica combofix

Salvalo sul desktop.
Doppio click su combofix.exe (comparirà una videata.)
Digita 1 premi Invio e segui le indicazioni.
Al termine, verrà creato un file log chiamato C:\ComboFix.txt. Postalo qui.
Durante l'operazione di scansione è importante non usare il PC e attendere pazientemente la fine delle operazioni.

[oztheboss]

ciao...scusa il ritardo...XD
ho fatto girare malwarebytes ma non ha trovato niente...


ora ho fatto girare combofix ti ho mandato il log in pm...


grazie per la disponibilità...

[menatwork]

ora ho fatto girare combofix ti ho mandato il log in pm...

puoi postarlo qui senza P.M.?

devi caricarlo su un server e possibilmente senza spazi, incollalo per intero

[oztheboss]

ecco il log ...XD

[menatwork]

fai in questo modo

da risorse del computer, premi Strumenti>opzioni cartella>Visualizzazione, metti la spunta a "visualizza file e cartelle nascosti">OK.

cerca ed elimina il file segnalato

c:\windows\system32\ 44FCC88A3B.sys

analizza su virustotal questo file

c:\windows\system32\drivers\hmvmdm.sys

scarica e installa l'ultima versione di java sun

fai pulizia dei file temporanet con ccleaner

disinstalla combofix con questo programmino

eseguilo
Clicca su CleanUp.
Alla richiesta di riavvio clicca SI


vai in Disco Locale C: ed elimina la cartella QooBox

aggiorna avg alla versione 9

riferisci se hai ancora problemi, combofix sembra a posto dopo l'eliminazione del file che ti ho indicato

[oztheboss]

ok...ora faccio tutto...
grazie per essere stato cosi disponibile...se ho ancora problemi riferisco...XD

[main event]

ciao a tutti.. scusate se torno anche io su questo problema però sono incasinato e non so come muovermi.

sul pc mi è comparso il solito xp antispyware e ho fatto una prima ricerca in internet.

il primo intervento che ho fatto è stato scaricare SUPERANTISPYWARE e lanciarlo. ha trovato un paio di trojan e me li ha cancellati. a questo punto xp antispyware non parte più però ogni applicazione non parte e mi chiede con che programma voglio aprirla.. inoltre se entro nel pannello di controllo e cerco di entrare in sistema (o in altri controlli) mi dice che non trova RUNDLL32.EXE.

da quello che ho letto in giro le mie sono conseguenze comuni a chi è stato infettato con questo virus. Spero possiate aiutarmi.

grazie

[menatwork]

scarica rkill e avvialo

a seguire scarica malwarebytes

Aggiornalo: clicca sulla scheda "aggiornamenti" => "controlla aggiornamenti"
Esegui una "scansione completa" (seleziona l'opzione)
A scansione completata, posta il rapporto.

[main event]

ciao e grazie per l'aiuto.

prima di leggere la tua risposta avevo già scaricato malwarebytes e l'ho avviato dopo l'aggiornamento. alcune cose sono migliorate ma mi rimangono alcuni problemi come la lentezza del pc, ogni tanto non funziona l'audio, a volte mi da la schermata con solo l'immagine del desktop senza icone ecc..

ora sto scaricando rkill così faccio la procedura e ti posto il logfile. grazie ancora



EDIT 1:ho fatto tutto ma al riavvio presenta gli stessi problemi.. se parte l'audio non mi apre i documenti word. se invece ad un prossimo riavvio mia apre i documenti non mi fa sentire l'audio dicendomi che la periferica audio non è installata. ti posto i logfile

EDIT 2 : come faccio a postare il log?